问题描述
我有一个使用Lexik JWT v2.8.0,gesdinet jwt刷新令牌v0.9.1和我自己的实体用户的Symfony 5.1项目。我可以使用JWT登录并获取令牌,将其保存在HttpOnly cookie中并成功将其与受保护的API结合使用。
我已经使用/ api / user /路由实现了CRUD API,并且我不希望未登录的用户能够更新或删除用户,因此我需要向未登录和已登录的用户授予访问权限,以便创建和读取用户。
我使用了另一种方式来创建用户/ api / register,并将其添加到具有IS_AUTHENTICATED_ANONYMOUSLY的access_control中,因此它可以与未登录的用户正常工作。
但是要获取用户列表,我将/ api / user /路由与GET方法一起使用,因为该路由与PUT和DELETE方法共享,我只希望GET方法是可访问的。
我在security.yaml中的access_control是:
access_control:
- { path: ^/api/user,roles: IS_AUTHENTICATED_ANONYMOUSLY,methods: [GET] }
- { path: ^/api/linkpage,methods: [GET] }
- { path: ^/api/login,roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api/token/refresh,roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api/register,roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api,roles: IS_AUTHENTICATED_FULLY }
但是,当我尝试让没有令牌的用户时,会收到一条401未经授权的消息,只有登录并拥有令牌的人才能拥有用户列表。
PD:如果我需要一个链接页面列表并且没有令牌,则使用GET方法的/ api / linkpage路由也会遇到同样的问题。
编辑:这是完整的security.yaml:
security:
encoders:
UserBundle\Domain\Entity\User:
algorithm: auto
providers:
app_user_provider:
entity:
class: UserBundle\Domain\Entity\User
property: email
firewalls:
dev:
pattern: ^/(_(profiler|wdt)|css|images|js)/
security: false
login:
pattern: ^/api/login
stateless: true
anonymous: true
json_login:
provider: app_user_provider
check_path: /api/login_check
success_handler: lexik_jwt_authentication.handler.authentication_success
failure_handler: lexik_jwt_authentication.handler.authentication_failure
refresh:
pattern: ^/api/token/refresh
stateless: true
anonymous: true
register:
pattern: ^/api/register
stateless: true
anonymous: true
api:
pattern: ^/api
stateless: true
provider: app_user_provider
guard:
authenticators:
- lexik_jwt_authentication.jwt_token_authenticator
main:
anonymous: true
lazy: true
provider: app_user_provider
access_control:
- { path: ^/api/user,methods: [GET] }
- { path: ^/api/linkpage,methods: [GET] }
- { path: ^/api/login,roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api/token/refresh,roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api/register,roles: IS_AUTHENTICATED_ANONYMOUSLY }
- { path: ^/api,roles: IS_AUTHENTICATED_FULLY }
解决方法
问题就在这里
api:
pattern: ^/api
stateless: true
provider: app_user_provider
guard:
authenticators:
- lexik_jwt_authentication.jwt_token_authenticator
受保护的情况下,您可以添加anonymous: true
access_control:
- { path: ^/api,roles: IS_AUTHENTICATED_FULLY }
您将明确列出未经身份验证的用户可以访问的其他路由。